SSL Strip 공격과 HSTS Bypassing

  MITM (Man-In-The-Middle) 공격은 공격자와 Victim이 동일한 네트워크에 연결되어 있어야 한다. 따라서 외부에서 공격하는 Remote Exploit Attack에 비해 “덜 흥미로운-less interesting”것으로 간주되곤 한다. 그러나 동일 네트워크라는 제약조건에도 불구하고 MITM 공격이 여전히 이슈가 되는 이유는, Victim  네트워크에 접근했을 때, 다음 단계 해킹을 위한 강력한 무기로 활용할 수 있기 때문이다. 일반적으로 SSL과 같이 전송 구간 암호화가 적용되어 있으면 MITM이 불가능하다고 여기기 쉬우나, 다양한 기법을 통해 통신 내용을 중간에 가로채는 것이 (혹은 변조하는 것이) 가능하다. 이번 포스팅에서는 SSL 을 우회하여 MITM 공격하는 방법을 상세하게 다룰 예정이며, 목차는 다음과 같다. SSL-Strip 기법의 기본 이론과 동작 원리 SSL-Strip 방어기법 (HSTS)과 우회 방법 HSTS Bypass 공격을 … Read More

Continue Reading

웹 퍼징 (Web Fuzzing) 도구 소개 및 활용 방법

  실무에서의 침투 테스트는 대부분은 제한적인 정보하에 진행되는 경우가 많다. 물론 프로젝트의 성격에 따라 침투 팀에게 주어지는 정보의 양과 범위는 제각각이긴 하지만, 시스템의 안정성을 적극적으로 점검하고 싶어하는 고객의 경우 IP 리스트만 제공하는 경우도 많다. 내부 시스템의 경우는 비교적 침투하기에 수월한(?) 편이긴 하나, 외부에 공개되어 있는 시스템들은 고객측에서 일정 수준 이상의 보안 조치를 마친 상태에서 침투팀을 기다리기 때문에, 그리 만만하지 않은 것이 사실이다. [ IP 리스트조차 주어지지 않는다면, 직접 공격 대상을 찾아야 한다 ] 그러나 작은 취약점 하나가 결국 전체 시스템을  무너트릴 수 있다는 것을 경험하고 나면, 그러한 두려움을 조금씩 이겨나갈 수 있을 것이다.   웹 퍼징 도구에 대하여   오늘 … Read More

Continue Reading

Site Footer